自動(dòng)駕駛系統(tǒng)帶給汽車業(yè)者的最大沖擊，就是軟件內(nèi)容不斷膨脹；軟件開發(fā)商GreenHillsSoftware汽車業(yè)務(wù)開發(fā)總監(jiān)ChuckBrokish在接受EETimes采訪時(shí)就表示：「鏈接庫變得太龐大…拖慢了安全軟件評估程序?！?/p>

今日的車用芯片領(lǐng)導(dǎo)廠商聲稱其車用SoC或MCU即將取得ASIL(AutomotiveSafetyIntegrityLevel)-D安全性認(rèn)證，而因?yàn)樵撜J(rèn)證是協(xié)助定義符合ISO26262標(biāo)準(zhǔn)的必備安全性要求，這是正面的發(fā)展，但ASIL-D芯片上執(zhí)行的軟件呢？也同時(shí)取得了ASIL-D認(rèn)證嗎？

對此Brokish指出：「并沒有，他們會(huì)說他們的軟件是經(jīng)過『質(zhì)量控管』(quality-managed)，」他解釋，這代表該類軟件的安全性并沒有經(jīng)過單獨(dú)驗(yàn)證或是認(rèn)證。有數(shù)個(gè)產(chǎn)業(yè)團(tuán)體包括SAE、ISO等，正在努力為軟件安全性開發(fā)「準(zhǔn)則」，但Brokish認(rèn)為，還需要至少幾年的時(shí)間一切才能底定。

「緊急紅色按鈕」可行嗎？

考慮到Uber自駕車事故悲劇，政府主管機(jī)關(guān)應(yīng)該要謹(jǐn)慎重新思考信任自駕車營運(yùn)商安全性聲明的現(xiàn)行策略；主管至少該期望自駕車營運(yùn)商提供證據(jù)，證明他們的實(shí)際道路測試方法足夠安全。不過美國卡內(nèi)基美隆大學(xué)(CarnegieMellonUniversity)教授PhilipKoopman表示，在道路測試之前，他不會(huì)要求自駕車完美證明其安全性。

他建議自駕車營運(yùn)商應(yīng)該被要求報(bào)告其安全性案例，「以結(jié)構(gòu)化的書面聲明形式，并有證據(jù)作為支持，證明其系統(tǒng)在使用意圖上具備可接受的安全性；」他并強(qiáng)調(diào)該保證測試自駕車上配有一名安全駕駛，不能撤銷。

Koopman在4月初于美國匹茲堡(Pittsburgh)舉行的賓州自動(dòng)車輛高峰會(huì)(PennsylvaniaAutomatedVehicleSummit)上，發(fā)表了一場題為「確保自駕車道路測試安全性」(EnsuringtheSafetyofOn-RoadSelf-DrivingCarTesting)的演說，主要是探討「如何讓自駕車測試夠安全」。

他強(qiáng)調(diào)：「這不是說模擬不重要，事實(shí)上我認(rèn)為模擬相當(dāng)重要；」不過他補(bǔ)充指出：「無論你做了多少模擬，到某個(gè)階段你還是需要開到外面的實(shí)際道路，在那一天來臨之前，你需要確認(rèn)安全駕駛確實(shí)能保障測試系統(tǒng)的安全，甚至在自駕車零組件出現(xiàn)仿真時(shí)未預(yù)期的錯(cuò)誤時(shí)?！?/p>

Koopman在演說中表示，駕駛員注意力不集中的狀況在飛行員之間也很常見，所以一定要有一位副駕駛來擔(dān)任備援；自駕車營運(yùn)商必須致力于妥善訓(xùn)練安全駕駛員，讓這個(gè)人能保持專注，同時(shí)也需要實(shí)時(shí)監(jiān)控該駕駛員的警覺性。

同樣重要的，是以一種讓安全駕駛員能及時(shí)反應(yīng)的方法來設(shè)計(jì)自駕車；他指出，自駕車供貨商應(yīng)該要確保「自駕車隔離機(jī)制實(shí)際可運(yùn)作」；而Koopman也質(zhì)疑所謂的「紅色緊急按鈕」是否實(shí)際可行？他解釋，這種按鈕能快速啟動(dòng)所謂的自駕車隔離機(jī)制，實(shí)際上有些設(shè)計(jì)真的是一個(gè)大尺寸的紅色按鈕。

兩種不同的「紅色緊急按鈕」機(jī)制（來源：PhilKoopman）

上圖是兩種不同的緊急隔離機(jī)制設(shè)計(jì)；Koopman解釋，左邊的那種：「駕駛員的控制是透過自動(dòng)駕駛軟件，但如果自動(dòng)駕駛軟件有故障，可能會(huì)忽略駕駛員的控制；」換句話說：「在自駕車計(jì)算機(jī)上添加緊急控制按鈕并不能保證系統(tǒng)安全，因?yàn)橄到y(tǒng)可能會(huì)忽略該按鈕?！?/p>

至于右邊的第二種設(shè)計(jì)，Koopman表示：「我們已經(jīng)先假設(shè)自動(dòng)駕駛軟件會(huì)出現(xiàn)故障，所以我們可確保駕駛員擁有一個(gè)獨(dú)立的途徑，可透過某個(gè)開關(guān)來控制車輛；」他指出：「緊急控制按鈕強(qiáng)迫系統(tǒng)接受駕駛員的控制，所以無論自駕車軟件嘗試做什么，都不會(huì)造成妨礙?！?/p>

以第二種設(shè)計(jì)案例來看，「如果開關(guān)設(shè)計(jì)是依據(jù)適當(dāng)?shù)腎SO26262ASIL標(biāo)準(zhǔn)，在隔離機(jī)制方面就會(huì)是安全的；」Koopman表示：「要注意的是該設(shè)計(jì)的重點(diǎn)，是一旦紅色緊急按鈕被啟動(dòng)后，讓任何自動(dòng)駕駛系統(tǒng)的錯(cuò)誤都不可能凌駕于人類安全駕駛員。」

如果Uber事故的悲劇有帶給我們?nèi)魏谓逃?xùn)，就是消費(fèi)者、產(chǎn)業(yè)界與主管機(jī)關(guān)都應(yīng)該停止簡單的爭論，我們確保道路安全的唯一方法，是把人類排除在等式之外。我們更應(yīng)該關(guān)心的是，讓自動(dòng)駕駛車輛能安全地與行人與其他人類駕駛車輛共存之前，還有多少工作要做。